Citrix Netscaler : il est à nouveau temps de patcher

Sept mois. Une éternité. C'était fin août dernier : Citrix corrigeait une vulnérabilité critique affectant Netscaler et déjà exploitée, la CVE-2025-7775. L'attente est terminée : il est temps de revenir à la case patch pour la CVE-2026-3055.

Comme l'explique Citrix, elle concerne les instances ADC et Gateway configurées comme fournisseurs d'identité (IDP) SAML et émerge d'une validation d'entrée insuffisante. Son exploitation réussie peut permettre à des assaillants sans privilèges de dérober des données sensibles telles que des jetons de session.

Citrix recommande chaudement à ses clients concernés d'installer les versions mises à jour dès que possible, à savoir NetScaler ADC et NetScaler Gateway versions 14.1-66.59 et ultérieures, NetScaler ADC et NetScaler Gateway versions 13.1-62.23 et ultérieures de la version 13.1, ainsi que NetScaler ADC 13.1-FIPS et 13.1-NDcPP 13.1.37.262 et versions ultérieures de 13.1-FIPS et 13.1-NDcPP.

La correction s'effectue en une seule étape, souligne Citrix : "vous devez mettre à niveau les instances NetScaler vulnérables vers une version et une build contenant le correctif". Voilà. 

De son côté, Arctic Wolf souligne la similarité de la vulnérabilité CVE-2026-3055 avec deux autres, tristement célèbres : Citrix Bleed en 2023, et Citrix Bleed 2, de juin dernier.